Userprincipalname что это в актив директори
Перейти к содержимому

Userprincipalname что это в актив директори

  • автор:

Использование дополнительных UPN-суффиксов в ALD Pro для аутентификации в доверенном домене MS AD

UserPrincipalName (UPN) – это имя для входа пользователя в формате email адреса. По умолчанию в Active Directory в качестве UPN суффикса используется DNS имя вашего домена AD. Например, UserPrincipalName пользователя в домене ms.ad выглядит так: username@ms.ad. В ряде случаев администратор вынужден вводить дополнительные (альтернативные) UPN-суффиксы. В статье рассматривается как использовать их в ALD Pro для входа в ПК, под управлением Astra Linux.

Окружение
* ALD Pro 1.4.1
* ALD Pro 2.x.x

Как войти в систему на клиентском ПК под управлением Astra Linux, находящемся в домене ALD Pro, от имени пользователя, созданного в доверенном домене Microsoft Active Directory (MS AD), используя дополнительные UPN-суффиксы?

Для поддержки входа пользователя с использованием дополнительных UPN-суффиксов следует:

  1. Убедиться в том, что IPA KDC корректно отображает дополнительные UPN-суффиксы. Для этого на контроллере домена ALD Pro:
    1. Получить билет администратора домена ALD Pro, выполнив команду в терминале (): kinit имя_администратора_домена_AldPro
    2. Запросить сведения о доверительных отношениях с MS AD, выполнив команду в терминале (): ipa trust-show имя_домена_MS_AD Пример результата выполнения команды:

    Имя области (realm): ms.ad Имя домена NetBIOS: MS Идентификатор безопасности домена: S-1-5-21-3238733890-3822432069-3742759889 Направление отношения доверия: Двустороннее отношение доверия Тип отношения доверия: Домен Active Directory Суффиксы UPN: test.ms.ad, 123.ms.ad
    [domain/aldpro.loc] id_provider = ipa ipa_server_mode = True ipa_server = dc1.aldpro.loc ipa_domain = aldpro.loc ipa_hostname = dc1.aldpro.loc auth_provider = ipa chpass_provider = ipa access_provider = ipa cache_credentials = True ldap_tls_cacert = /etc/ipa/ca.crt krb5_store_password_if_offline = True sudo_provider = ipa autofs_provider = ipa subdomains_provider = ipa session_provider = ipa hostid_provider = ipa krb5_use_enterprise_principal = True [sssd] services = ifp domains = aldpro.loc [nss] homedir_substring = /home memcache_timeout = 600 [pam] [sudo] [autofs] [ssh] [pac] [ifp] allowed_uids = 0, 114, 33, fly-dm, ipaapi [secrets] [session_recording]

    Для аутентификации в Астра Линукс к учётной записи пользователя, созданной в доверенном домене MS AD, необходимо добавлять дополнительный UPN-суффикс домена MS AD, например:

    Вход от имени пользователя, созданного в доверенном домене Microsoft Active Directory, используя дополнительный UPN суффикс

    где test.ms.ad — дополнительный UPN-суффикс в домене ms.ad.

    11 Доверительные отношения с MS AD

    Дата последней правки: 2023-12-22 09:22:38

    Атрибуты именования пользователей

    Атрибуты именования пользователей определяют объекты пользователей, такие как имена входа и идентификаторы, используемые для обеспечения безопасности. Атрибуты cn, name и distinguishedName являются примерами атрибутов именования пользователей. Объект пользователя — это объект субъекта безопасности, поэтому он также включает следующие атрибуты именования пользователей:

    • userPrincipalName — имя входа для пользователя
    • objectGUID — уникальный идентификатор пользователя
    • sAMAccountName — имя входа, которое поддерживает предыдущую версию Windows
    • objectSid — идентификатор безопасности пользователя
    • sIDHistory — предыдущие идентификаторы SID для объекта пользователя

    Эти атрибуты можно просматривать и управлять ими с помощью оснастки MMC пользователей и компьютеров Active Directory, которая доступна в средств удаленного сервера Администратор istration Tools (RSAT).

    userPrincipalName

    Атрибут userPrincipalName — это имя входа для пользователя. Атрибут состоит из имени участника-пользователя (UPN), которое является наиболее распространенным именем входа для пользователей Windows. Пользователи обычно используют имя участника-пользователя для входа в домен. Этот атрибут представляет собой индексированную строку, которая является однозначной.

    Имя имени участника-пользователя в стиле Интернета — это имя для входа в Интернет на основе стандарта RFC 822. Имя участника-пользователя короче, чем различающееся имя и проще помнить. По соглашению это должно соответствовать имени электронной почты пользователя. Точка имени участника-пользователя заключается в консолидации пространств имен электронной почты и входа, чтобы пользователь запоминал только одно имя.

    Формат имени участника-участника

    Имя участника-пользователя состоит из префикса (имя участника-пользователя) и суффикса (имя субъекта-пользователя). Префикс объединяется с суффиксом с помощью символа «@». Например, «someone@ example.com». Имя участника-пользователя должно быть уникальным среди всех объектов субъекта безопасности в пределах леса каталога. Это означает, что префикс имени участника-участника-участника можно повторно использовать, а не с тем же суффиксом.

    Суффикс имени участника-участника имеет следующие ограничения:

    • Оно должно быть DNS-именем домена, но не должно быть именем домена, содержащего пользователя.
    • Это должно быть имя домена в текущем лесу домена или альтернативное имя, указанное в атрибуте upnSuffixes контейнера Partitions в контейнере конфигурации.

    Управление имени участника-участника

    Имя участника-пользователя можно назначить, но не обязательно при создании учетной записи пользователя. При создании имени участника-пользователя он не влияет на другие атрибуты объекта пользователя, например переименованного или перемещаемого пользователя. Это позволяет пользователю сохранять то же имя входа, если каталог переструктурирован. Однако администратор может изменить имя участника-пользователя. При создании нового объекта пользователя необходимо проверка локальный домен и глобальный каталог для предлагаемого имени, чтобы убедиться, что он еще не существует.

    Когда пользователь использует имя участника-пользователя для входа в домен, имя участника-пользователя проверяется путем поиска локального домена, а затем глобального каталога. Если имя участника-участника-участника не найдено в глобальном каталоге, попытка входа завершается ошибкой.

    objectGUID

    Атрибут objectGUID является уникальным идентификатором пользователя. Атрибут представляет собой однозначный 128-разрядный глобальный уникальный идентификатор (GUID) и хранится в виде ADS_OCTET_STRING структуры. Guid создается сервером Active Directory при создании пользовательского объекта.

    Так как различающееся имя объекта изменяется при переименовании или перемещении объекта, различающееся имя не является надежным идентификатором объекта. В службах домен Active Directory атрибут objectGUID объекта никогда не изменяется, даже если объект переименован или перемещен. Вы можете получить строковую форму objectGUID с помощью метода свойства GUID в методах свойств IADs.

    sAMAccountName

    Атрибут sAMAccountName — это имя входа, используемое для поддержки клиентов и серверов из предыдущей версии Windows, таких как Windows NT 4.0, Windows 95, Windows 98 и LAN Manager. Имя входа должно быть 20 или меньше символов и быть уникальным среди всех объектов субъекта безопасности в домене.

    objectSid

    Атрибут objectSid — это идентификатор безопасности пользователя. Идентификатор безопасности используется системой для идентификации пользователя и их членства в группах во время взаимодействия с безопасностью Windows. Атрибут имеет однозначное значение. Идентификатор безопасности — это уникальное двоичное значение, используемое для идентификации пользователя в качестве субъекта безопасности.

    Идентификатор безопасности устанавливается системой при создании пользователя. Каждый пользователь имеет уникальный идентификатор безопасности, выданный доменом Windows, и хранится в атрибуте objectSid объекта пользователя в каталоге. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности пользователя из каталога и помещает его в маркер доступа пользователя. Идентификатор безопасности пользователя также используется для получения идентификаторов безопасности для групп, в которых пользователь является членом, и помещает их в маркер доступа пользователя. Если идентификатор безопасности используется в качестве уникального идентификатора пользователя или группы, его нельзя использовать повторно для идентификации другого пользователя или группы.

    sIDHistory

    Атрибут sIDHistory содержит предыдущие идентификаторы SID для объекта пользователя. Это многозначный атрибут. Объект пользователя имеет предыдущие идентификаторы БЕЗОПАСНОСТИ, если пользователь был перемещен в другой домен. При каждом перемещении объекта пользователя в новый домен создается и назначается атрибут objectSid , а предыдущий идентификатор безопасности добавляется в атрибут sIDHistory .

    Население Microsoft Entra UserPrincipalName

    В этой статье описывается, как атрибут UserPrincipalName заполняется идентификатором Microsoft Entra. Значение атрибута UserPrincipalName — это имя пользователя Microsoft Entra для учетных записей пользователей.

    Терминология имени участника-пользователя

    В этом руководстве используется следующая терминология:

    Срок Description
    Исходный домен Домен по умолчанию (onmicrosoft.com) в клиенте Microsoft Entra. Например, contoso.onmicrosoft.com.
    Адрес маршрутизации электронной почты Microsoft Online (MOERA) Идентификатор Microsoft Entra вычисляет MOERA из атрибута Microsoft Entra MailNickName и начального домена Microsoft Entra в качестве @
    атрибут mailNickName в локальной среде; Атрибут в Active Directory, значение которого представляет собой псевдоним пользователя в организации Exchange.
    Атрибут mail в локальной среде Атрибут в Active Directory, значение которого представляет собой адрес электронной почты пользователя.
    Основной SMTP-адрес Основной адрес электронной почты объекта получателя Exchange. Например, SMTP: user@contoso.com.
    Альтернативный идентификатор входа Атрибут в локальной среде, который не является UserPrincipalName, например атрибут mail, используется для входа.

    Что такое UserPrincipalName?

    UserPrincipalName — это атрибут, который является именем пользователя для входа через Интернет на основе интернет-стандарта RFC 822.

    Формат имени участника-пользователя

    Имя участника-пользователя состоит из префикса (имя участника-пользователя) и суффикса (имя субъекта-пользователя). Префикс объединяется с суффиксом с помощью символа «@». Например, someone@example.com. Имя участника-пользователя должно быть уникальным среди всех объектов субъекта безопасности в пределах леса каталога.

    Имя участника-пользователя в идентификаторе Microsoft Entra

    Имя участника-пользователя используется идентификатором Microsoft Entra, чтобы разрешить пользователям входить в систему. Имя участника-пользователя, доступное для применения, зависит от того, является ли домен проверенным. Если домен проверен, пользователь с этим суффиксом сможет войти в идентификатор Microsoft Entra.

    Атрибут синхронизируется с помощью Microsoft Entra Подключение. Во время установки можно просматривать проверенные и непроверенные домены.

    Unverified domains

    Альтернативный идентификатор входа

    В некоторых средах пользователи могут знать только свой адрес электронной почты, но не имя участника-пользователя. Использование адреса электронной почты может объясняться требованиями корпоративной политики или зависимостью в локальном бизнес-приложении.

    Альтернативное имя пользователя позволяет настроить процедуру входа таким образом, чтобы пользователи могли использовать для входа атрибут, отличный от имени участника-пользователя, например адрес электронной почты.

    Чтобы включить альтернативный идентификатор входа с идентификатором Microsoft Entra, при использовании Microsoft Entra Подключение не требуется никаких дополнительных действий по настройке. Альтернативное имя пользователя можно настроить непосредственно из мастера. Сведения о настройке входа в Microsoft Entra для пользователей в разделе «Синхронизация». В раскрывающемся списке «Имя участника-пользователя» выберите атрибут для альтернативного идентификатора входа.

    Screenshot that highlights User Principal Name list where you select the Alternate login ID attribute.

    Непроверенный суффикс имени участника-пользователя

    Если локальный атрибут UserPrincipalName/альтернативный суффикс идентификатора входа не проверен с помощью клиента Microsoft Entra, то для атрибута Microsoft Entra UserPrincipalName задано значение MOERA. Идентификатор Microsoft Entra вычисляет MOERA из атрибута Microsoft Entra MailNickName и начального домена Microsoft Entra как @.

    Проверенный суффикс имени участника-пользователя

    Если локальный атрибут UserPrincipalName/Альтернативный суффикс идентификатора входа проверяется с помощью клиента Microsoft Entra, значение атрибута Microsoft Entra UserPrincipalName будет совпадать со значением локального атрибута UserPrincipalName или альтернативного идентификатора входа.

    Вычисление значения атрибута Microsoft Entra MailNickName

    Так как значение атрибута Microsoft Entra UserPrincipalName может иметь значение MOERA, важно понимать, как вычисляется значение атрибута Microsoft Entra MailNickName, являющееся префиксом MOERA.

    При первом синхронизации объекта пользователя с клиентом Microsoft Entra идентификатор Microsoft Entra проверка следующие элементы в указанном порядке и задает значение атрибута MailNickName первым существующим:

    • атрибут mailNickName в локальной среде;
    • префикс основного SMTP-адреса;
    • префикс атрибута mail в локальной среде;
    • префикс локального атрибута userPrincipalName или альтернативного имени пользователя.
    • префикс дополнительного SMTP-адреса.

    Когда обновления пользовательского объекта синхронизируются с клиентом Microsoft Entra, идентификатор Microsoft Entra обновляет значение атрибута MailNickName только в том случае, если имеется обновление до значения атрибута mailNickName в локальной среде.

    Идентификатор Microsoft Entra id пересчитывает значение атрибута UserPrincipalName только в том случае, если обновление атрибута UserPrincipalName или значение альтернативного идентификатора входа синхронизируется с клиентом Microsoft Entra.

    Каждый раз, когда идентификатор Microsoft Entra id пересчитывает атрибут UserPrincipalName, он также пересчитывает MOERA.

    В случае изменения проверенного домена идентификатор Microsoft Entra также пересчитывает атрибут UserPrincipalName. Дополнительные сведения см. в разделе «Устранение неполадок: аудит данных об изменении проверенного домена»

    Сценарии имени участника-пользователя

    Ниже приведены примеры сценариев, по которым вычисляется имя участника-пользователя.

    Сценарий 1. Непроверенный суффикс имени участника-пользователя. Начальная синхронизация

    Scenario1

    Объект пользователя в локальной среде:

    • mailNickName:
    • proxyAddresses:
    • Почты: us2@contoso.com
    • Userprincipalname: us3@contoso.com

    Синхронизация объекта пользователя с клиентом Microsoft Entra в первый раз

    • Задайте атрибут Microsoft Entra MailNickName для первичного префикса SMTP-адреса.
    • Задайте MOERA в формате @.
    • Задайте для атрибута Microsoft Entra UserPrincipalName значение MOERA.

    Объект пользователя клиента Microsoft Entra:

    • MailNickName : us1
    • Userprincipalname: us1@contoso.onmicrosoft.com

    Сценарий 2. Непроверенный суффикс имени участника-пользователя. Настройка атрибута mailNickName в локальной среде

    Scenario2

    Объект пользователя в локальной среде:

    • mailNickName: us4
    • proxyAddresses:
    • Почты: us2@contoso.com
    • Userprincipalname: us3@contoso.com

    Синхронизация обновления локального атрибута mailNickName с клиентом Microsoft Entra

    • Обновите атрибут Microsoft Entra MailNickName с помощью локального атрибута mailNickName.
    • Так как в локальном атрибуте userPrincipalName нет обновления, нет изменений в атрибуте Microsoft Entra UserPrincipalName.

    Объект пользователя клиента Microsoft Entra:

    • MailNickName: us4
    • Userprincipalname: us1@contoso.onmicrosoft.com

    Сценарий 3. Непроверенный суффикс имени участника-пользователя. Обновление атрибута userPrincipalName в локальной среде

    Scenario3

    Объект пользователя в локальной среде:

    • mailNickName: us4
    • proxyAddresses:
    • Почты: us2@contoso.com
    • Userprincipalname: us5@contoso.com

    Синхронизация обновления локального атрибута userPrincipalName с клиентом Microsoft Entra

    • Обновление локального атрибута userPrincipalName активирует пересчет атрибута MOERA и Microsoft Entra UserPrincipalName.
    • Задайте MOERA в формате @.
    • Задайте для атрибута Microsoft Entra UserPrincipalName значение MOERA.

    Объект пользователя клиента Microsoft Entra:

    • MailNickName: us4
    • Userprincipalname: us4@contoso.onmicrosoft.com

    Сценарий 4. Непроверенный суффикс имени участника-пользователя. Обновление локального атрибута mail и основного SMTP-адреса

    Scenario4

    Объект пользователя в локальной среде:

    • mailNickName: us4
    • proxyAddresses:
    • Почты: us7@contoso.com
    • Userprincipalname: us5@contoso.com

    Синхронизация обновления локального атрибута почты и основного SMTP-адреса с клиентом Microsoft Entra

    • После начальной синхронизации объекта пользователя обновления атрибута локальной почты и основного SMTP-адреса не повлияют на атрибут Microsoft Entra MailNickName или UserPrincipalName.

    Объект пользователя клиента Microsoft Entra:

    • MailNickName: us4
    • Userprincipalname: us4@contoso.onmicrosoft.com

    Сценарий 5. Проверенный суффикс имени участника-пользователя. Обновление суффикса атрибута userPrincipalName в локальной среде

    Scenario5

    Объект пользователя в локальной среде:

    • mailNickName: us4
    • proxyAddresses:
    • Почты: us7@contoso.com
    • Userprincipalname: us5@verified.contoso.com

    Синхронизация обновления локального атрибута userPrincipalName с клиентом Microsoft Entra

    • Обновление локального атрибута userPrincipalName активирует пересчет атрибута Microsoft Entra UserPrincipalName.
    • Задайте атрибуту Microsoft Entra UserPrincipalName значение локального атрибута userPrincipalName, так как суффикс имени участника-пользователя проверяется с помощью клиента Microsoft Entra.

    Объект пользователя клиента Microsoft Entra:

    • MailNickName: us4
    • Userprincipalname: us5@verified.contoso.com

    Next Steps

    • Интеграция локальных каталогов с идентификатором Microsoft Entra
    • Выборочная установка Microsoft Entra Connect

    Глоссарий

    System Cloud Identity Management – протокол для стандартизации обмена информации о пользователях между IT-системами.

    userPrincipalName

    UserPrincipalName (UPN) – это имя пользователя в формате адреса электронной почты, например username@domain.com .

    UPN-имя необязательно должно соответствовать фактическому адресу электронной почты пользователя. В этом примере username – это имя пользователя в домене Active Directory (user logon name), а domain.com – это UPN-суффикс. Между ними используется разделитель @ . По умолчанию в Active Directory в качестве UPN-суффикса используется DNS-имя домена Active Directory.

    Провайдер идентификации

    Сервис, предназначенный для хранения и управления пользовательскими идентификационными данными, необходимыми для аутентификации пользователей в различных системах.

    Протокол SAML

    Security Assertion Markup Language (SAML) – открытый стандарт безопасного обмена данными аутентификации и авторизации между корпоративным провайдером идентификации и программами-клиентами.

    Технология единого входа (SSO)

    Механизм, позволяющий пользователю получить доступ к нескольким программным ресурсам, используя одну учетную запись.

    Фишинг

    Вид интернет-мошенничества, целью которого является получение неправомерного доступа к конфиденциальным данным пользователей.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *